Los cambios constantes en el cronograma y el alcance del proyecto de ley de seguridad en línea (OSB) del gobierno del Reino Unido están obstaculizando la capacidad de Ofcom para prepararse para sus nuevas responsabilidades y funciones, dice la Oficina Nacional de Auditoría (NAO).
Cuando se presentó oficialmente al Parlamento en marzo de 2022, se agregaron una serie de delitos penales para responsabilizar a los altos directivos por destruir pruebas, no asistir o proporcionar información falsa en entrevistas con Ofcom, y por obstruir al regulador cuando ingresa a las oficinas de la empresa para auditorías o inspecciones; basándose en tres delitos penales anteriores que se agregaron en febrero.
Si bien ahora se espera que el OSB se convierta en ley en octubre de 2023, el régimen regulatorio completo se implementará en fases durante los próximos dos años.
En un informe publicado el 12 de julio de 2023, la NAO examinó los preparativos realizados hasta ahora por Ofcom para implementar el próximo OSB y descubrió que, si bien el regulador de daños en línea “ha tenido un buen comienzo”, sus esfuerzos se ven obstaculizados por la incertidumbre en torno al cronograma del proyecto de ley. y alcance final.
Seguridad en linea
La NAO señaló, por ejemplo, que Ofcom completó una reestructuración organizacional en septiembre de 2020 para incorporar la seguridad en línea y expandir su grupo de tecnología; ya ha preparado una “base de evidencia inicial sustancial” para informar su aplicación del nuevo régimen; emprendió un compromiso temprano con la industria; y creó un nuevo Grupo de seguridad en línea en abril de 2023 con la responsabilidad de la ejecución de estrategias y el desarrollo de políticas
Sin embargo, también señaló que la estimación preliminar de Ofcom para la cantidad de servicios en línea que podrían estar sujetos al nuevo régimen es de más de 100,000, aunque esto podría ser mayor, y que deberá producir más de 40 documentos regulatorios (incluidos códigos de práctica y orientación) para los proveedores de servicios.
“La gran mayoría de estos [100,000 services] tendrán su sede en el extranjero y no habrán sido regulados por Ofcom antes y, por lo tanto, no están familiarizados con él. El monitoreo de esta escala de servicios requerirá sistemas automatizados de recopilación y análisis de datos, y la capacidad de TI para respaldarlos, que Ofcom está desarrollando actualmente”, dijo, y agregó que los costos acumulados de preparación e implementación del OSB podrían totalizar £169 millones para 2025. con £ 56 millones ya incurridos para fines de 2023.
Dado el alcance del régimen, la NAO ha dicho que se necesitan más inversiones y personal para garantizar que el nuevo régimen funcione según lo previsto, pero que la incertidumbre en torno al OSB impide los preparativos de Ofcom en estas áreas.
“Ha sido difícil para Ofcom estimar y luego reclutar la cantidad de personas que requiere, ya que el alcance del régimen y las responsabilidades de Ofcom han cambiado con el tiempo”, dijo la NAO. “Por ejemplo, según Ofcom, a principios de julio de 2023 todavía necesitaba calcular los requisitos de personal derivados de las enmiendas al proyecto de ley anunciadas por el gobierno a fines de junio, y estimar los niveles de personal necesarios seguía siendo difícil ya que la el alcance del régimen aún era incierto ya que aún se podían hacer más adiciones al proyecto de ley”.
La NAO agregó que si bien Ofcom contrató a 346 empleados adicionales entre julio de 2020 y marzo de 2023 según sus estimaciones de lo que se requeriría en ese momento, los aumentos en el alcance del régimen regulatorio y el establecimiento de una unidad de supervisión dedicada desde entonces significan que 104 empleados adicionales ser necesario; llevar el total a 450 para fines de 2024.
“Para implementar con éxito el régimen regulatorio, Ofcom debe ser capaz de atraer el talento adecuado con las habilidades y la experiencia adecuadas, incluido el conocimiento y la comprensión del sector tecnológico. Ofcom no solo requiere una cantidad significativa de personal adicional, sino que muchos de ellos se encuentran en áreas nuevas, como la tecnología y los datos de seguridad en línea”, dijo, y agregó que “también existe el riesgo de que las continuas extensiones del proceso legislativo puedan causar personal a retirarse o irse”.
Gareth Davies, director de NAO, agregó: “Ofcom deberá administrar varios riesgos de una manera que ofrezca una buena relación calidad-precio. Tendrá que moverse rápidamente para cubrir cualquier brecha en sus preparativos en caso de que el alcance cambie entre ahora y la implementación… Como siempre, el acceso a datos de buena calidad será esencial para que Ofcom controle el cumplimiento de los servicios y evalúe su propia eficacia”.
Para hacer frente a las lagunas restantes en la preparación, la NAO ha realizado una serie de recomendaciones para Ofcom en cuatro áreas diferentes.
Con respecto a su comunicación externa, por ejemplo, la NAO recomendó que Ofcom debería gestionar las expectativas del público sobre el impacto del régimen y el papel de Ofcom durante la implementación, así como desarrollar aún más sus planes para informar a la industria sobre sus requisitos.
Sobre las habilidades y el desarrollo de capacidades, la NAO dijo que Ofcom debe identificar cómo alcanzará la capacidad y la capacidad que necesita y mantener esto relevante y actualizado; mientras que en la gestión financiera, agregó que Ofcom debe establecer cómo gestionará los riesgos financieros presentados por el año adicional de instalación y la mayor necesidad de personal, así como aclarar su plan de financiación a largo plazo.
“[Ofcom] aún tiene que asegurar la financiación que necesita para el personal adicional que ha identificado que requerirá”, dijo la NAO. “Tendrá que regular una gran cantidad de servicios, la gran mayoría de los cuales no han sido regulados antes y no están familiarizados con Ofcom y cómo funciona, y que no tienen presencia corporativa o económica en el Reino Unido. Deberá cubrir sus costos mediante la introducción de tarifas para que el régimen se autofinancie. También necesitará obtener datos de buena calidad para monitorear el cumplimiento de los servicios y evaluar su propia efectividad y la del régimen”.
En una recomendación dirigida al Departamento de Ciencia, Innovación y Tecnología (DSIT), la NAO agregó que debería “trabajar con Ofcom para identificar cómo los datos que Ofcom planea recopilar como parte de sus actividades de evaluación respaldarán la propia evaluación de DSIT de la efectividad. del régimen y el logro de sus objetivos de política”.